Verizonは年次のデータ侵害調査レポートで、ハッカーが人工知能（AI）を使ってソフトウェアの脆弱性探索を加速させており、防御側に残された対応時間が大幅に縮小していると明らかにした。

ロイター通信によると、データ侵害の起点としてソフトウェアの脆弱性悪用が、認証情報の窃取を初めて上回った。Verizonが3万1000件超の事案を分析したところ、侵害の31%は脆弱性悪用を発端としていた。同社は、AIがサイバーセキュリティ業界を根本から変えつつあると指摘している。

攻撃者は、標的の選定や初期侵入、マルウェア開発といった攻撃の準備段階で生成AIを活用している。既知の脆弱性が悪用されるまでの時間も、数カ月から数時間へと短縮しているという。

レポートでは、企業が承認していないAIを従業員が独自に利用する「シャドーAI」についても言及した。データ侵害における悪意のない内部要因として3番目に多い類型となっており、従業員が統制の及ばない環境でソースコードや画像などのデータをAIに入力していると説明している。

CrowdStrikeも今年初めに公表した年次報告書で、2025年には悪意あるハッカーによるAI活用型の攻撃が前年比89%増となったと指摘した。スキルの低い攻撃者でもAIを使えば強力な攻撃が可能になり、熟練した攻撃者はさらに能力を高めているとしている。

Verizonは、AIを活用した攻撃について、現段階では防御側がすでに検知可能な手法を自動化し、規模を拡大するなど、運用面での活用が中心だと評価した。一方で、新たな攻撃面を切り開く段階にはまだ至っていないとしつつ、AIの急速な進化を踏まえると、この見方が長く続くとは限らないとも付け加えた。

Verizonの最高情報セキュリティ責任者（CISO）、ナスリン・レザイ氏は「AIにはAIで対抗しなければならない」と述べた上で、ソフトウェア開発ライフサイクルやテスト工程、サイバー防御プロセスに前例のない規模でAIを導入すべきだと主張した。